Fortnite to gra typu battle royale, na którą z niecierpliwością czekało wielu użytkowników Androida. Epic Games zaskoczyło jednak wszystkich decyzją o tym, że produkcji nie znajdziemy w sklepie Google Play – zamiast tego chętna osoba zmuszona jest pobrać specjalny instalator ze strony twórców. Pomimo tego, że aplikacja nie znalazła się w oficjalnym sklepie giganta z Mountain View, to korporacja podjęła już kroki mające na celu zabezpieczyć smartfony użytkowników. Teraz natomiast inżynier Google’a odnalazł poważny błąd w grze Fortnite.
Poważny błąd bezpieczeństwa w Fortnite. Smartfony użytkowników były zagrożone!
Pracownik Google’a na forach Issue Tracker opublikował post, w którym poinformował nas, jak w łatwy sposób można było zainfekować smartfony użytkowników dzięki popularnej ostatnio metodzie ataku o nazwie Man-in-the-Disk. Temu problemowi poświęciłem na łamach naszej strony oddzielny artykuł – zapoznajcie się z nim, by w pełni zrozumieć, jak dowolna aplikacja zainstalowana w pamięci smartfona może w złośliwy sposób wpływać na inne programy. Na czym zatem polegała luka w instalatorze Fortnite’a?
Zobacz też: Sprzedaż Samsunga Galaxy Note9 wygląda rewelacyjnie.
Jak możemy przeczytać w wątku stworzonym przez pracownika Google’a, instalator gry (com.epicgames.portal) po pierwszym uruchomieniu rozpoczyna proces pobierania ogromnego pliku .apk (com.epicgames.fortnite), w którym zapisane są wszystkie elementy produkcji. Plik ten zapisywany jest poza chronioną pamięcią aplikacji, zatem każdy program z uprawnieniami odczytu i zapisu w pamięci wewnętrznej ma możliwość modyfikacji tych danych. Po zakończonym procesie pobierania weryfikowany jest cyfrowy podpis pliku .apk, lecz nie jest on sprawdzany przed instalacją. Oznacza to, że dowolna złośliwa aplikacja może podmienić pobrany plik .apk zaraz po pobraniu, co spowoduje, że użytkownik poproszony zostanie o zainstalowanie innego programu. Jedynym wymogiem jest to, by zgadzała się nazwa pakietu (com.epicgames.fortnite) – jeżeli tak jest, to instalator Fortnite bezproblemowo zainicjuje instalację dowolnej aplikacji.
Co robić, jak żyć?
Jeżeli jesteście fanami gry Fortnite i posiadacie ją na swoim smartfonie, to nie musicie robić niczego – błąd został już załatany, a o usterce poinformowani zostaliśmy już po fakcie. Na całe szczęście urządzeń graczy Fortnite’a nie można już zatem w łatwy sposób shakować. Co ciekawe, Epic Games poprosiło pracownika firmy Google, by szczegóły na temat ataku opublikowane zostały 90 dni po dacie załatania błędu. Ten jednak nie zgodził się na to, powołując się na politykę giganta z Mountain View, zgodnie z którą informacje tego typu publikowane są 7 dni po dacie wydania odpowiedniej łatki. Co sądzicie o grze Fortnite? Czy spędzacie w niej swój wolny czas? Dajcie znać w komentarzach.
Źródło: Google Issue Tracker